www.systemonline.cz

Hlavní partner sekce

Partneři sekce

Tematické sekce

ERP systémy

CRM systémy

Plánování a řízení výroby

AI a Business Intelligence

DMS/ECM - Správa dokumentů

HRM/HCM - Řízení lidských zdrojů

EAM/CMMS - Správa majetku a údržby

Účetní a ekonomické systémy

ITSM (ITIL) - Řízení IT

Cloud a virtualizace IT

IT Security

Logistika, řízení skladů, WMS

IT právo

GIS - geografické informační systémy

Projektové řízení

Trendy ICT

E-commerce B2B/B2C

CAD/CAM/CAE/PLM/3D tisk

Branžové sekce

Automobilový průmysl

Banky a finanční organizace

Energetika a utility

Potravinářský průmysl

Stavebnictví - BIM, CAFM

Veřejný sektor a zdravotnictví

Inzerce

SystemNEWS


	Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky

Archiv SystemNEWS

Přehledy

Přehledy IS
APS (20)
BPM - procesní řízení (23)
Cloud computing (IaaS) (10)
Cloud computing (SaaS) (33)
CRM (51)
DMS/ECM - správa dokumentů (20)
EAM (17)
Ekonomické systémy (68)
ERP (77)
HRM (28)
ITSM (6)
MES (32)
Řízení výroby (36)
WMS (29)
Dodavatelé IT služeb a řešení
Datová centra (25)
Dodavatelé CAD/CAM/PLM/BIM... (39)
Dodavatelé CRM (33)
Dodavatelé DW-BI (50)
Dodavatelé ERP (71)
Informační bezpečnost (50)
IT řešení pro logistiku (45)
IT řešení pro stavebnictví (26)
Řešení pro veřejný a státní sektor (27)

Inzerce

Partneři webu

Best WordPress Themes

Hlavní strana -> Časopis IT Systems -> Rok 2025 -> IT Systems 11/2025 -> DORA a NIS2: Digitální odolnost dodavatelského řetězce

IT SYSTEMS 11/2025 , IT Security

DORA a NIS2: Digitální odolnost dodavatelského řetězce

-sefira-

Současná společnost je bezprecedentně závislá na digitálních technologiích. Tato závislost, a s ní spojená systémová propojenost mezi subjekty v kritických sektorech, tvoří nové zranitelné místo celého evropského digitálního ekosystému. Evropská unie na tuto výzvu reaguje sérií opatření, z nichž nejdůležitější jsou nařízení DORA a směrnice NIS2. Tyto regulace nepředstavují pouhé kosmetické úpravy pravidel, ale zavádí povinnost digitální odolnosti a posouvají kybernetickou bezpečnost z IT oddělení na úroveň strategického řízení.

Certifikace k prokázání regulatorního souladu dodavatelů

V kontextu DORA a NIS2 se ukazuje, že důvěra již není založena na pouhém slibu, ale musí být objektivně prokazatelná a auditovatelná. Pro povinné subjekty, které musejí prokazovat řízení rizik spojených s dodavatelským řetězcem, a pro samotné dodavatele, kteří chtějí být partnery v regulovaných sektorech, se stávají klíčovým pomocníkem implementace vybraných mezinárodních ISO norem. Certifikace podle těchto norem představují formální, nezávisle auditovaný důkaz, že dodavatel implementoval a udržuje efektivní systémy řízení.

Digital Operational Resilience Act (DORA)

Nařízení DORA se zaměřuje primárně na finanční sektor (banky, pojišťovny, investiční společnosti) a jejich kritické poskytovatele ICT služeb. Stanovuje komplexní rámec pro řízení ICT rizik, hlášení incidentů, testování digitální odolnosti a, což je klíčové, řízení rizik třetích stran. DORA de facto činí finanční instituce odpovědnými za kybernetickou odolnost jejich klíčových dodavatelů, čímž vyžaduje detailní prověřování a smluvní zakotvení bezpečnostních standardů. Cílem je zamezit kaskádovému selhání v rámci finančního systému, které by mohlo vzniknout selháním jediného kritického dodavatele.

Network and Information Security Directive 2 (NIS2)

Směrnice NIS2 rozšiřuje a zpřísňuje pravidla kybernetické bezpečnosti pro mnohem širší spektrum subjektů v klíčových a důležitých sektorech, jako je energetika, zdravotnictví, doprava či digitální infrastruktura. Podstatným prvkem NIS2 je rovněž ochrana dodavatelského řetězce jako v případě nařízení DORA. Povinné subjekty musí v rámci řízení kybernetických rizik zohlednit i rizika spojená se svými dodavateli a poskytovateli služeb, a to včetně procesů týkajících se sběru, zpracování a ochrany dat.

Přínos pro důvěryhodnost

Zavedením těchto harmonizovaných a přísných požadavků se zvyšuje celková důvěryhodnost a odolnost nejen jednotlivých povinných subjektů, ale celého digitálního ekosystému. Dodavatelé, kteří prokážou schopnost plnit tyto nároky, se stávají spolehlivějším a méně rizikovým článkem pro své zákazníky.

Zvláště důležité pro posuzování shody s DORA a NIS2 jsou následující normy, zejména s ohledem na rostoucí využívání cloudových služeb:

ISO/IEC 27001 (Systém řízení bezpečnosti informací – ISMS): Tato norma je univerzálním základem pro řízení ICT rizik, který vyžadují obě regulace. Prokazuje zavedení systematických procesů pro identifikaci rizik, implementaci bezpečnostních opatření a hlášení incidentů. Pro regulované subjekty poskytuje jistotu, že dodavatel spravuje informace dle mezinárodně uznávaných standardů.
ISO 9001 (Systém řízení kvality – QMS): Ačkoliv se primárně zaměřuje na kvalitu, v kontextu digitální odolnosti prokazuje schopnost dodavatele udržovat provozní kontinuitu a konzistentní kvalitu služeb, což je klíčové pro Digital Operational Resilience (DORA).
ISO/IEC 27017 (Bezpečnost cloudových služeb): Tato norma se specificky zaměřuje na bezpečnost cloudových služeb. Prokazuje, že dodavatel efektivně řeší rizika spojená s poskytováním a používáním cloudu, což je esenciální pro ty subjekty DORA a NIS2, které využívají cloudové platformy pro kritické procesy.
ISO/IEC 27018 (Ochrana PII v cloudu): Norma se soustředí na ochranu osobních identifikačních údajů (PII) v cloudovém prostředí. Je kritická pro dodavatele, kteří spravují či zpracovávají data pro své zákazníky, a zajišťuje dodržování vysokých standardů ochrany dat nad rámec obecného GDPR.

Ne nadarmo se regulace DORA i NIS2 významně inspirovaly právě v normě ISO 27001, jejíž nová verze, na kterou musí všichni nejpozději letos přejít, svým členěním a definicí požadovaných opatření pomáhá s přípravou na tyto nové regulační rámce. Pro dodavatele představují tyto certifikace významnou konkurenční výhodu, protože zákazníkům poskytují přímý důkaz o naplňování organizačních a technických požadavků plynoucích z nových evropských regulací.

Technologická hloubka: HSM, PKI a digitální důvěra eIDAS

Vedle formálních certifikací se musí povinné subjekty při výběru dodavatelů zaměřit také na technologickou hloubku a zkušenosti s implementací základních bezpečnostních stavebních kamenů. To platí zejména pro služby, které jsou samy o sobě kritické pro právní průkaznost a integritu dat.

Důležitým vodítkem pro posuzování vhodných dodavatelů, zejména v sektorech kladoucích silný důraz na bezpečnost (finančnictví, veřejná správa, energetika), jsou jejich zkušenosti se specializovanými bezpečnostními technologiemi jako jsou např.:

Hardware Security Modules (HSM): Jsou nezbytné pro bezpečnou správu a ochranu kryptografických klíčů, které se používají při vytváření elektronických podpisů a pečetí, šifrování dat a autentizaci. Kompetence dodavatele v oblasti implementace a správy certifikovaných HSM modulů indikuje schopnost zajistit nejvyšší úroveň zabezpečení klíčových operací, což je požadavek implicitně obsažený v přísnějších bezpečnostních opatřeních DORA a NIS2.
Certifikační autority (PKI – Public Key Infrastructure): PKI tvoří technologickou páteř pro vydávání digitálních certifikátů, které slouží jako klíčový prvek pro zajištění bezpečnosti mnoha různých aspektů souvisejících s provozem informačních systémů a technologií, protože zajišťují elektronickou identitu a integritu dat. Zkušenosti s návrhem a provozem robustní PKI jsou klíčové pro implementaci základních bezpečnostních mechanismů, ale především pro poskytování služeb elektronického podpisu a pečeti dle nařízení eIDAS. Tyto služby digitální důvěry jsou dnes nezbytné pro digitální transakce a archivaci, a jejich bezpečný a prokazatelný provoz je přímo spojen s plněním legislativních povinností.

Dodavatel s prokazatelnými zkušenostmi v těchto oblastech poskytuje jistotu, že kritické digitální procesy (např. bezpečnost dat, digitální podpis smluv, dlouhodobá archivace) jsou postaveny na nejvyšších bezpečnostních standardech, čímž opět snižuje regulatorní riziko pro svého zákazníka, tedy pro vás.

Spolehněte se na prověřené partnery

Regulace DORA a NIS2 definují nové minimum pro digitální odolnost a důvěryhodnost. Pro povinné subjekty to znamená nutnost pečlivě prověřovat své dodavatele, a to nejen na základě ceny, ale především na základě prokazatelné bezpečnosti a souladu s předpisy. Certifikace ISO a technologická expertíza v oblasti kryptografie a eIDAS služeb představují nejsilnější důkaz spolehlivosti. Partnerství s dodavatelem, který sám stojí pod přísným regulatorním dohledem a splňuje standardy, je pro každý povinný subjekt nejlepší cestou k naplnění vlastní digitální odolnosti.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Pokročilé vyhledávání a analytika pro každého

Profesionální práce s daty, která už není jen pro korporace

Ještě před pár lety byla analýza dat doménou těch, kdo měli rozpočty v řádech milionů – velkých firem, bank, státních institucí. Malé společnosti, auditoři, compliance specialisté nebo právníci se museli spoléhat na ruční pročítání dokumentů, improvizované tabulky a pracné ověřování informací. Dnes se situace zásadně mění. Technologie, které byly dříve příliš drahé nebo technicky náročné, se otevírají i jednotlivcům a menším týmům.

» Více

Inzerce

Časopis IT Systems / Odborná příloha

Více o časopisu IT Systems

Archiv časopisu IT Systems

Oborové a tematické přílohy

Kalendář akcí

leden - 2026
Po	Út	St	Čt	Pá	So	Ne
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31	1
2	3	4	5	6	7	8

IT Systems podporuje

29.1.	Nové služby, možnosti AI a chytřejší provoz ManageEngine...
12.2.	Kontejnery v praxi 2026
26.2.	IT ve zdravotnictví 2026
12.3.	IT Security Worshop 2026
15.4.	Energy Vision 2026

Formulář pro přidání akce

Další akce